NESTA PÁGINA
Acesse a nuvem do Juniper Security Director e verifique assinaturas ativas
Gerar certificados de dispositivo na nuvem do Juniper Security Director
Implante uma política de borda segura na nuvem do Juniper Security Director
Obtenha parâmetros de configuração de túnel IPsec para aplicar na nuvem do Juniper Security Director
Crie conectores de borda seguros no Portal de nuvem da Juniper Mist
Configure conectores de borda seguros para roteadores Session Smart
O Juniper® Secure Edge oferece recursos full-stack Security Service Edge (SSE) para proteger o acesso a aplicativos web, SaaS e no local e fornecer aos usuários força de trabalho de segurança onde quer que eles estejam com proteção consistente contra ameaças e uma experiência de rede otimizada, e políticas de segurança que acompanham os usuários onde quer que eles vão. O Secure Edge atua como um avançado scanner de segurança baseado em nuvem. Ela permite que as organizações protejam dados e forneçam aos usuários acesso de rede consistente e seguro, seja no escritório, no campus ou em movimento.
Os recursos secure edge são todos gerenciados pelo Juniper Security Director Cloud, a experiência de gerenciamento simples e perfeita da Juniper entregue em uma única interface de usuário (UI).
Para obter mais informações, consulte o Juniper Secure Edge.
Visão geral do Secure Edge Connector
A nuvem juniper Mist™ trabalha com o Juniper® Secure Edge para realizar a inspeção de tráfego a partir de dispositivos de borda usando o recurso de conector Secure Edge. Esse recurso permite que os roteadores Session Smart™ da Juniper®, implantados como dispositivo de borda WAN, enviem uma parte do tráfego para o Juniper Secure Edge para uma inspeção.
Nesta tarefa, você envia o tráfego vinculado à Internet do lado LAN de um dispositivo spoke ou hub para o Secure Edge para uma inspeção antes que o tráfego chegue à Internet.
Para realizar a inspeção de tráfego pelo Secure Edge:
-
No Security Director Cloud, crie e configure os locais de serviço, perfis IPsec, sites e políticas para Secure Edge. Estes são os recursos baseados na nuvem que fornecem serviços de segurança e conectividade para os dispositivos de borda WAN.
-
Na Mist Cloud, crie e configure os dispositivos de borda WAN, como um Roteador Session Smart, que se conectam às redes LAN. Estes são os dispositivos físicos que fornecem recursos de roteamento, comutação e SD-WAN para as filiais ou campi.
-
No Mist WAN-Edge, crie e configure os túneis secure edge que conectam os dispositivos de borda WAN aos locais de serviço. Estes são os túneis IPsec que fornecem transporte seguro e confiável para o tráfego que precisa ser inspecionado pelo Secure Edge.
-
Na Mist Cloud, atribua os túneis de Borda Segura aos perfis de sites ou dispositivos que correspondam aos dispositivos de borda wan. Isso permite que o tráfego guie das redes LAN para a nuvem secure edge com base nas políticas de dados definidas e outros critérios de correspondência. Tabela 1
Os tópicos da tabela a seguir apresentam as informações de visão geral de que você precisa usar a segurança baseada em nuvem do Secure Edge com a nuvem Juniper Mist™.
| Passo | Tarefa | Descrição |
| 1 | Acesse a nuvem do Juniper Security Director e verifique assinaturas ativas | Acesse o Juniper Security Director Cloud, acesse sua conta da organização e verifique as assinaturas do Secure Edge. A assinatura dá direito a configurar serviços secure edge para suas implantações. |
| 2 | Configure uma localização de serviço na Nuvem do Juniper Security Director | Crie locais de serviço. É aí que os gateways VPN baseados em vSRX criam conexões seguras entre diferentes redes. |
| 3 | Gerar certificados de dispositivo na nuvem do Juniper Security Director | Gere certificados digitais para o Juniper Secure Edge para estabelecer comunicações seguras entre o Secure Edge e os endpoints dos usuários. |
| 4 | Crie um perfil IPsec na Nuvem do Juniper Security Director | Crie perfis IPsec para estabelecer túneis IPsec para comunicação entre os dispositivos de borda WAN em sua rede de nuvem Juniper Mist com instância secure edge. |
| 5 | Crie um site no Juniper Security Director Cloud | Crie um site que hospeda um dispositivo de borda WAN (Session Smart Router). O tráfego do dispositivo é encaminhado para a instância secure edge por meio de um túnel seguro para uma inspeção. |
| 6 | Implante uma política de borda segura na nuvem do Juniper Security Director | Configure políticas que definem as regras e ações de segurança para o tráfego originário ou destinado ao site |
| 7 | Obtenha parâmetros de configuração de túnel IPsec para aplicar na nuvem do Juniper Security Director | Observe os detalhes, como IP de localização de serviço ou nome de host, o nome do perfil IPsec e a chave pré-compartilhada. Você precisa desses detalhes para configurar túneis IPsec do lado juniper Mist. |
| 8 | Crie conectores de borda seguros no Portal de nuvem da Juniper Mist | Crie conectores secure edge no portal de nuvem Juniper Mist. Essa tarefa completa a configuração do lado da nuvem da Mist dos túneis para estabelecer um túnel IPsec entre o dispositivo de borda WAN gerenciado pela Mist e a instância Secure Edge. |
| 9 | Modifique uma política de aplicação | Crie uma nova ou altere uma política de aplicativo existente para direcionar o tráfego do dispositivo de borda WAN para a Internet por meio do Juniper Security Director Cloud, em vez de passar por um hub para acesso centralizado. |
| 10 | Verifique a configuração | Confirme se sua configuração está funcionando verificando os túneis IPsec estabelecidos em:
|
Antes de começar
-
Leia sobre os requisitos de assinatura do Juniper® Secure Edge. Veja a visão geral das assinaturas do Juniper Secure Edge.
-
Garanta que você tenha concluído os pré-requisitos para acessar o Portal de Nuvem do Juniper Security Director . Consulte os pré-requisitos.
- Criado para criar seu locatário de borda segura. Veja criar seu locatário de borda segura.
- Presumimos que você tenha adotado e configurado o Session Smart Router implantado como dispositivo de borda WAN na Juniper Mist Cloud.
Acesse a nuvem do Juniper Security Director e verifique assinaturas ativas
Um locatário no Juniper Secure Edge é uma conta da organização que você cria para acessar o portal Juniper Security Director Cloud e gerenciar seus serviços secure edge. Um locatário está associado a um endereço de e-mail exclusivo e um plano de assinatura. Um locatário pode ter vários locais de serviço, que são gateways VPN baseados em vSRX hospedados em uma nuvem pública para sua organização.
Um locatário pode ter um ou mais locais de serviço, que são os pontos de conexão para usuários finais. Para criar um locatário, você precisa ter uma conta no Juniper Security Director Cloud. Consulte criar seu locatário de borda segura para obter detalhes.
Depois de criar seu tenant Secure Edge no portal Juniper Security Director Cloud, acesse o portal e verifique suas assinaturas.
Para acessar o Juniper Security Director Cloud e verificar assinaturas ativas:
- Abra a URL para o Juniper Security Director Cloud. Insira seu endereço de e-mail e senha para fazer login e começar a usar o portal Juniper Security Director Cloud.
Figura 3: Acesse o Juniper Security Director Cloud
- Selecione a administração > assinaturas para acessar a página de assinaturas do Juniper Security Director Cloud.
Figura 4: Assinaturas de borda segura
Configure locais de serviço
Depois de garantir que você tem uma licença ativa para o Juniper Security Director Cloud, você configura um local de serviço. Esta é sua primeira tarefa principal na configuração de um conector secure edge para roteadores Session Smart.
Um local de serviço no Juniper Security Director Cloud também é conhecido como POP (ponto de presença) e representa uma instância do Juniper® Secure Edge em um local de nuvem. O local de serviço é o ponto de conexão (acesso) para usuários no local e roaming.
Locais de serviço são locais onde o vSRX cria conexões seguras entre diferentes redes usando um serviço de nuvem pública. O endereço IP público (exclusivo por locatário e local de serviço) é usado para:
-
Configure um túnel IPsec entre o dispositivo da filial e o Juniper Security Director Cloud.
-
Distribua o tráfego centralmente quando o destino estiver na Internet.
Para configurar um local de serviço na Juniper Security Director Cloud:
- Clique em OK.
O Security Director Cloud cria um novo local de serviço e o lista na página De locais de serviço.
O status da localização de serviço mostra In Progress até que a instância secure edge seja totalmente implantada, como mostrado na Figura 5.
Figura 5: Status
dos locais de serviço
Quando você cria um novo local de serviço, o sistema inicia a implantação de duas instâncias vSRX como gateways VPN para o seu sistema de locatários. Nesta implantação, as instâncias vSRX não são compartilhadas com outros locatários.
Gerar certificados de dispositivo na nuvem do Juniper Security Director
Agora que você configurou locais de serviço na Juniper Security Director Cloud, você gera certificados de dispositivo para proteger o tráfego de rede.
Você usa um certificado de segurança de camada de transporte/camada de soquetes seguros (TLS/SSL) para estabelecer comunicações seguras entre dispositivos de borda Secure Edge e WAN. Todos os navegadores clientes de sua rede devem confiar nos certificados assinados pelos firewalls da Série JUNiper Networks e SRX para usar um proxy SSL.
No Juniper Security Director Cloud, você tem as seguintes opções para gerar certificados:
-
Crie uma nova solicitação de assinatura de certificado (CSR), e sua própria autoridade de certificado (CA) pode usar o CSR para gerar um novo certificado.
-
Selecione a opção para que a Juniper Networks crie um novo certificado.
Este tópico descreve como gerar um certificado TLS/SSL. A forma como você importa e usa o certificado depende dos requisitos de gerenciamento do cliente da sua empresa e está além do escopo deste tópico.
Para gerar certificados de dispositivo no Juniper Security Director Cloud:
- Selecione Secure Edge>Service Administration>Certificate Management.
A página de gerenciamento de certificados aparece.
Na lista Gerar , você pode gerar uma nova solicitação de assinatura de Certificado (CSR) ou um certificado emitido pela Juniper.
Figura 6: Gerenciamento
de certificados
- Digite os detalhes do certificado. No campo de nome Comum, use o nome de domínio totalmente qualificado (FQDN) do certificado.
Figura 7: Gere um certificado
emitido pela Juniper
A página de Gerenciamento de Certificados abre com uma mensagem indicando que o certificado é criado com sucesso.
- Baixe o certificado gerado.
Figura 8: Baixe o certificado
A amostra a seguir mostra o certificado baixado:
-----BEGIN CERTIFICATE----- MIIG4jCCBMqgAwIBAgIIX3yPMZ7QT9MwDQYJKoZIhvcNAQEMBQAwgYgxCzAJBgNV BAYTAlVTMQswCQYDVQQIEwJDQTESMBAGA1UEBxMJU3Vubnl2YWxlMR4wHAYDVQQK . . JwePvBrmKGPph8k+8gL9Gqw+wnfaARP3fqp4TXUcp6twDMyP0OJR8tRm51keplVw RAfTzy91Bhf261E62+MzKeh8J0Wi8q8Amaw6+aNVj8TcA9T/zotCI5JSkqV6+Wap btLaf5DXSYliXWnDgt72sURF3bmUYjfDTmPgwzeMi/dal4IWUqk= -----END CERTIFICATE-----
Depois de baixar o certificado em seu sistema, adicione o certificado aos navegadores do cliente.
Crie um perfil IPsec na Nuvem do Juniper Security Director
Depois de gerar os certificados para estabelecer comunicações seguras entre dispositivos de borda Secure Edge e WAN, você está pronto para criar perfis IPsec.
Os perfis IPsec definem os parâmetros com os quais um túnel IPsec é estabelecido quando os dispositivos de borda WAN em sua rede de nuvem Juniper Mist™ começam a se comunicar com sua instância secure edge.
Para criar um perfil IPsec na Nuvem do Juniper Security Director:
- Para o nome do perfil, use default-ipsec. Reter todos os valores padrão para Internet Key Exchange (IKE) e IPsec; atualmente, eles não estão configuráveis no portal de nuvem Juniper Mist.
Figura 9: Crie um perfil
IPsec
Você usa este perfil IPsec para criar um site na próxima tarefa. Na página criar site, se você selecionar o IPsec como o tipo de túnel na guia encaminhamento de tráfego, você anexará o perfil IPsec.
Crie um site na nuvem Juniper Secure Edge
Você já criou perfis IPsec. Esses perfis definem os parâmetros para o túnel IPsec entre dispositivos de borda WAN em sua rede de nuvem Juniper Mist™ e sua instância Secure Edge.
Neste ponto, você precisa criar um site no Juniper Security Director Cloud. Um site representa um local que hospeda um dispositivo de borda WAN, como um Session Smart Router. O tráfego do dispositivo de borda WAN é encaminhado para a instância secure edge por um túnel seguro e, em seguida, inspecionado e aplicado pelos serviços de nuvem Secure Edge.
Você pode configurar para encaminhar algum ou todo o tráfego vinculado à Internet de sites de clientes para a nuvem Juniper Secure Edge por meio de encapsulamento de roteamento genérico (GRE) ou túneis IPsec dos dispositivos de borda WAN no site.
Endereços de filial sobrepostos não são suportados ao mesmo POP dentro do Secure Edge ao usar um firewall stateful em filiais. O tráfego de caminho reverso para esses IPs sobrepostos será roteado usando multicaminho de custo igual (ECMP) em todas as conexões. O tráfego é roteado usando ECMP em vez de roteamento por sessão para a interface de onde o tráfego se originou. Considere o tráfego de caminho reverso através do ECMP quando você configurar as redes protegidas para um site.
Para criar um site no Juniper Security Director Cloud:
- Preencha a página detalhes do site da seguinte forma:
-
Insira um nome de site exclusivo e uma descrição.
-
Selecione o país correspondente na lista onde o site está localizado.
-
(Opcional) Digite o CEP onde a filial do cliente está localizada.
-
(Opcional) Insira a localização (endereço de rua) do site.
-
Selecione o número de usuários que podem usar a rede no site.
-
No campo de redes protegidas, clique no ícone Adicionar (+) para adicionar a faixa de endereço IP privada da interface a ser usada para o fluxo de tráfego através do túnel.
A Figura 10 e a Tabela 3 mostram um exemplo de um site.Figura 10: crie um site na nuvem
de borda segura da Juniper
Tabela 3: Detalhes da criação do site Valores de campos Localização de serviço primária jsec-oregon Localização de serviço secundário jsec-ohio Número de usuários 10 Nome spoke1-site País Alemanha Redes protegidas 10.99.99.0/24 (rede LAN) -
- Na página de encaminhamento de tráfego, digite os detalhes de acordo com as informações fornecidas na Figura 11
Figura 11: Crie o site: detalhes do encaminhamento de tráfego
Tabela 4: Detalhes da política de encaminhamento de tráfego Valor de campo Tipo de túnel Ipsec Tipo de endereço IP Dinâmico Perfil do IPsec ipsec padrão Chave pré-compartilhada Defina um PSK exclusivo para cada site. Exemplo: Juniper!1
IKE ID site1@example.com (se assemelha a um endereço de e-mail e deve ser um valor único para cada site) - Na página de configuração do site, para o tipo de dispositivo selecione dispositivo não-Juniper.
Figura 12: crie a configuração
do site-site
Você deve selecionar essa opção porque os dispositivos que o portal de nuvem Juniper Mist gerencia não têm sua configuração empurrado pelo Juniper Security Director Cloud.
- Na página Resumo, revise a configuração.
Figura 13: Crie o resumo do
site
- Analise a página resumo. Modifique quaisquer entradas incorretas.
#task_zvg_qcv_wxb__fig_ajm_y45_rxb exibe a lista de sites que você criou.
Implante uma política de borda segura na nuvem do Juniper Security Director
Agora que você criou sites no Juniper Security Director Cloud, é hora de implantar uma ou mais políticas de Borda Segura da Juniper®.
As políticas de borda segura especificam como a rede roteia o tráfego. Por padrão, quando você cria um novo tenant, o Security Director Cloud cria uma regra de política de Borda Segura definida com regras predefinidas.
Mesmo que você não altere o conjunto de regras padrão, você deve usar a opção Implantar para carregar as regras em seus locais de serviço.
Para implantar uma política de Borda Segura na Nuvem do Juniper Security Director:
- No portal Juniper Security Director Cloud, clique em Secure Edge > Security Policies.
Aparece uma página de política de borda segura com regras padrão. Você modifica o conjunto padrão de política de segurança para melhor depuração. O conjunto de regras padrão não permite pings de ICMP para fora (Internet), impedindo que você pinge qualquer coisa pela nuvem.
Figura 14: Detalhes da política de borda segura
Obtenha parâmetros de configuração de túnel IPsec para aplicar na nuvem do Juniper Security Director
Nas tarefas anteriores, você completou várias ações para configurar um túnel IPsec no Juniper Secure Edge e implantou a política secure edge na Nuvem do Juniper Security Director. A etapa final do Security Director Cloud é coletar dados de configuração para cada site. Você precisará desses detalhes para completar a configuração segura do conector de borda (Crie conectores de borda seguros no Portal de nuvem da Juniper Mist) na nuvem Juniper Mist™ para configurar um túnel IPsec. Nesta etapa, você observará os detalhes dos sites que criou.
Um impulso de configuração automatizado para sincronizar entre o Juniper Security Director Cloud e a opção de nuvem Juniper Mist não disponível.
Para que os parâmetros de configuração de túnel IPsec se apliquem na Nuvem do Juniper Security Director:
- No portal Juniper Security Director Cloud, selecione Secure Edge >Service Management > Sites.
A página do Site abre, exibindo detalhes do site implantados.Figura 15: Detalhes
da configuração do túnel
Crie conectores de borda seguros no Portal de nuvem da Juniper Mist
Você está quase na metade do seu objetivo final de configurar um conector Secure Edge para os Roteadores Session Smart na Juniper Mist™.
Você cria conectores Secure Edge no portal de nuvem Juniper Mist. Essa tarefa completa a configuração do lado da nuvem mist dos túneis para estabelecer um túnel IPsec entre dispositivos de borda WAN gerenciados pela Mist e o Security Director Cloud. Antes de criar os conectores, garanta que seu site tenha um roteador Session Smart implantado.
Para criar conectores secure edge:
- No portal de nuvem Juniper Mist, clique em WAN Edges.
A página wan edges exibe os detalhes do site.
Figura 16: Configure a borda
WAN
- No painel Secure Edge Connectors, clique em Adicionar Provedor.
Figura 17: Configuração
do conector de borda segura
- Digite detalhes do conector Secure Edge de acordo com os detalhes fornecidos na Figura 18
Nota:
Lembre-se que estes são os mesmos detalhes que você reuniu nos parâmetros de configuração do túnel IPsec para aplicar na Nuvem do Juniper Security Director.
Figura 18: Detalhes
do secure edge connector
Tabela 9: detalhes do conector de borda seguro Valor de campo Nome site1-to-sdcloud Provedor Juniper Secure Edge Identificação local site1@example.com Chave pré-compartilhada Juniper!1 (exemplo) Primária NOME DE IP ou Host endereço <IP> (da configuração do túnel de nuvem Juniper Security Director) IPs de sonda - Identificação remota <UID>.jsec-gen.juniper.net (configuração de túnel de nuvem rom Juniper Security Director) WAN Interface -
WAN0=INET
-
WAN1=MPLS
Secundário NOME DE IP ou Host endereço <IP> da (da configuração de túnel de nuvem do Juniper Security Director) IPs de sonda - Identificação remota <UID>.jsec-gen.juniper.net (da configuração do túnel juniper Security Director Cloud) WAN Interface -
WAN0=INET
-
WAN1=MPLS
Modo Espera ativa Nota:Você não precisa entrar nos valores de IP da sonda. Os túneis IPsec não precisam de monitoramento adicional, como as necessidades de GRE.
Nota:Não habilite IPs de sonda ICMP para a configuração de borda segura baseada em Session Smart Router. As sondas ICMP serão originadas de um endereço IP não roteável em direção à Borda Segura e lançadas devido à política. Além disso, se os endereços de origem estiverem sobrepostos em todas as filiais, o roteamento para mais de uma filial com endereço IP de sonda não é suportado.
Nota:O sistema gera descrições de texto, aplicativos e e-mails automaticamente.
-
- Verifique se o portal de nuvem da Mist adicionou o conector Secure Edge que você acabou de configurar.
- Adicione os caminhos de orientação de tráfego
Adicione um novo caminho de orientação de tráfego no modelo de borda WAN ou dispositivo de borda WAN, de acordo com os valores fornecidos na Figura 19
Figura 19: adicione opções de direção de tráfego para borda segura
Tabela 10: Configuração do caminho de direção de tráfego Valor dos campos Nome Nuvem Estratégia Ordenou Caminhos Selecione Tipo e Destino Tipo Conector de borda seguro Provedor Juniper Secure Edge Nome site1-to-sdcloud A Tabela 10 exibe caminhos de orientação de tráfego concluídos.
Figura 20: Caminhos
de orientação de tráfego
Modifique uma política de aplicação
Depois de criar conectores Secure Edge no portal de nuvem Juniper Mist™, o próximo passo é modificar as políticas de aplicativos no dispositivo da filial. Por exemplo, você pode permitir o tráfego de um dispositivo spoke para um dispositivo hub. Você também pode permitir o tráfego de um dispositivo spoke para outro dispositivo spoke no túnel VPN. Depois disso, você pode enviar tráfego de spokes para a Internet por meio do Juniper Security Director Cloud, em vez de enviar tráfego de spokes para um hub para fuga central.
Use as seguintes etapas para confirmar se a configuração está funcionando:
- No portal de nuvem Juniper Mist, acesse a Política de > de aplicativos > da Organização >
Figura 21: alterar políticas de aplicativos
Verifique a configuração
Para verificar a configuração:
- (Opcional) Dependendo do seu ambiente, você pode ver a comunicação do túnel IPsec em direção ao Juniper Security Director Cloud na CLI.
user@host:~# tcpdump -eni fabric6 port 4500 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on fabric6, link-type EN10MB (Ethernet), capture size 262144 bytes 18:43:46.835469 52:54:00:f4:02:77 > 52:54:00:14:07:6c, ethertype IPv4 (0x0800), length 317: 192.168.173.191.16534 > 44.225.209.13.4500: NONESP-encap: isakmp: child_sa ikev2_auth[I] 18:43:46.879282 52:54:00:f4:02:77 > 52:54:00:14:07:6c, ethertype IPv4 (0x0800), length 317: 192.168.173.191.16535 > 3.130.70.175.4500: NONESP-encap: isakmp: child_sa ikev2_auth[I] 18:43:46.884834 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 292: 44.225.209.13.4500 > 192.168.173.191.16534: NONESP-encap: isakmp: child_sa ikev2_auth[R] 18:43:46.974426 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 292: 3.130.70.175.4500 > 192.168.173.191.16535: NONESP-encap: isakmp: child_sa ikev2_auth[R] 18:43:58.001576 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 103: 44.225.209.13.4500 > 192.168.173.191.16534: NONESP-encap: isakmp: parent_sa inf2 18:43:58.002603 52:54:00:f4:02:77 > 52:54:00:14:07:6c, ethertype IPv4 (0x0800), length 103: 192.168.173.191.16534 > 44.225.209.13.4500: NONESP-encap: isakmp: parent_sa inf2[IR] 18:44:06.111512 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 103: 3.130.70.175.4500 > 192.168.173.191.16535: NONESP-encap: isakmp: parent_sa inf2 18:44:06.112368 52:54:00:f4:02:77 > 52:54:00:14:07:6c, ethertype IPv4 (0x0800), length 103: 192.168.173.191.16535 > 3.130.70.175.4500: NONESP-encap: isakmp: parent_sa inf2[IR] 18:44:06.896312 52:54:00:f4:02:77 > 52:54:00:14:07:6c, ethertype IPv4 (0x0800), length 103: 192.168.173.191.16534 > 44.225.209.13.4500: NONESP-encap: isakmp: child_sa inf2[I] 18:44:06.922069 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 103: 44.225.209.13.4500 > 192.168.173.191.16534: NONESP-encap: isakmp: child_sa inf2[R] 18:44:07.022463 52:54:00:f4:02:77 > 52:54:00:14:07:6c, ethertype IPv4 (0x0800), length 103: 192.168.173.191.16535 > 3.130.70.175.4500: NONESP-encap: isakmp: child_sa inf2[I] 18:44:07.022502 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 43: 44.225.209.13.4500 > 192.168.173.191.16534: isakmp-nat-keep-alive 18:44:07.097695 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 103: 3.130.70.175.4500 > 192.168.173.191.16535: NONESP-encap: isakmp: child_sa inf2[R] 18:44:07.113678 52:54:00:14:07:6c > 52:54:00:f4:02:77, ethertype IPv4 (0x0800), length 43: 3.130.70.175.4500 > 192.168.173.191.16535: isakmp-nat-keep-alive
Verifique os detalhes dos túneis estabelecidos WAN Insights do dispositivo no portal de nuvem Juniper Mist.
Figura 22: conector de borda seguro com detalhesVocê também pode verificar os túneis estabelecidos no painel juniper Security Director Cloud e no local de serviço.
do túnel
- Abra um navegador em um desktop VM e navegue até https://whatismyipaddress.com/ para ver detalhes sobre o endereço IP de origem usado para rotear o tráfego de rede juniper Mist de um local de serviço em direção à Internet.
A Figura 23 e a Figura 24 mostram tráfego dos locais de serviços primários e secundários.
Figura 23: Tráfego da localização
primária do serviço
Figura 24: Tráfego do local
de serviço secundário
Um dos dois endereços IP do local de serviço é um endereço IP público e atende a duas finalidades:
-
Termina o túnel IPsec
-
Roteia o tráfego de dispositivos de filiais para a Internet por meio do Juniper Security Director Cloud
Você pode ver este mesmo endereço IP público nas capturas de pacotes mostrando um túnel estabelecido para o local de serviço usando o Juniper Security Director Cloud. Veja verificar a configuração.
Lembre-se que um local de serviço no Juniper Security Director Cloud também é conhecido como POP e representa uma instância do Juniper® Secure Edge em um local de nuvem. O local de serviço é o ponto de conexão (acesso) para usuários no local e roaming.
-